■審査項目FAQ[Frequently
Asked Question]
|
|
はじめに… |
|
本制度は、基本的に ISP を差別しようというものではありません。合格した ISP
は、セキュリティや顧客対応などについて一定水準を満たしており、安全に、かつ安心して利用できる ISP
であるという目安を提供するものです。ですから、質問項目の内容について、一定水準に達することができた ISP は、全て合格することができます。
また、現在合格できる水準に達していない ISP であれば、水準に達するよう努力していただき、業界全体のレベルアップを図ろうという目的も持っています。
本マークの申請をきっかけに、セキュリティポリシーを明確化していなかったり、ユーザー対応の履歴を残さずにいた ISP
が本マークを取得するために新たにセキュリティポリシーを策定したり、ユーザー対応履歴のデータベースを作成するなど、状況を見直し、改善されることが本マークの目的の一つであります。 |
|
|
|
|
|
|
Q: |
一次審査と二次審査の役割の違いは何ですか? |
A: |
提出された書類を審査するのは基本的に一次審査の役割です。二次審査は、一次審査が正当に行われたかどうかについてを審査し、一次審査において判断不能な例についてのみ助言を行います。また、二次審査を行う審査委員会は、審査項目や審査基準について適正であるかどうかの見直しや改廃を行うことが主な役割です。 |
|
|
Q: |
設問中の各署名欄にある「担当者署名押印: 」の担当者とは、各項目ごとの担当者でなくてはいけませんか? |
A: |
署名押印は、各項目ごとの個別担当者によるものが望ましいです。しかしながら、全個別担当者から署名押印を得るのが困難な場合は、本書類作成者が、個別担当者への社内聞き取り調査にもとづいて、署名押印した場合でも可とします。 |
|
|
Q: |
審査料金を支払う上で請求書が欲しいのですがどうしたらよいですか? |
A: |
必要な場合には請求書を発行します。事務局までご連絡下さい。 |
|
|
Q: |
システムの運用・メンテナンスを外部に委託している場合は、提出書類への署名押印は外部委託先に頼まなければいけませんか。 |
A: |
外部委託先の担当者の署名、押印がもっとも好ましいです。しかし、委託先担当者より署名押印を得ることが困難な場合には、審査項目に従って聞き取り調査を行っていただき、書類作成者の署名押印をお願いします。 |
|
|
Q: |
安全・安心マークの有効期間は何年ですか。 |
A: |
マーク発効日より 1 年間有効です。また、有効期間満了 3 ヶ月前に書面にてご連絡いたします。 |
|
|
|
|
|
|
Q: |
1-1-1 で「セキュリティポリシー」と「それに相当する内部規程文書」との違いは何ですか? |
A: |
本審査に当たって、セキュリティとは、まずセキュリティポリシーありきという考え方に立脚しており、セキュリティポリシーがあることが必須です。但し、まだしっかりしたセキュリティポリシーがない中小のISPに対する救済措置として、それに相当する内部規程文書があればよいこととしています。現状そのようなものが何もなくてこれから作成する場合は、以下を参考に作成してください。
|
|
|
Q: |
1-1-1の審査は、提出されたセキュリティポリシーについて、内容についてはどのような審査をするのですか? |
A: |
以下の必要項目が明記されているかどうかを確認するものであり、内容について審査するものではありません。
セキュリティポリシーの基本方針並びに適用範囲、組織と体制、重要情報と保護対策(情報機器廃棄時の対策を含む)、評価と見直し、法令遵守,
違反に対する対応、運用と教育 |
|
|
Q: |
弊社ではセキュリティポリシーを社外に提出することはいけないことになっていますがどうしたらいいですか? |
A: |
セキュリティポリシーが社外持ち出し禁止という措置は全く正しい運用方法です。しかしながら審査をする以上何らかの手段で提出していただかないことには審査のしようがありません。掲載してある必要項目が盛り込まれているかどうか確認させていただくための断材料として、なんらかの形での提出をお願いします。要返却、禁複製など事務局で対応できることはご相談に応じさせていただきます。また、必要項目の存在がわかれば、その内容は問わないので、目次や記載部分抜粋の提出でも可とします。 |
|
|
Q: |
弊社は外資系のためセキュリティポリシーが英語で作成されていますが、英語のままで提出してもいいですか? |
A: |
原則として日本語でお願いしたいところですが、英文しかない場合にはそれでも結構です。但し、以下の項目の記載場所に何らかの印を付けていただけますようお願いします。
- セキュリティーポリシーの基本方針並びに適用範囲
- 組織と体制
- 重要情報と保護対策(情報機器廃棄時の対策を含む)
- 評価と見直し
- 法令遵守, 違反に対する対応
- 運用と教育
|
|
|
Q: |
1-1-2 の監査報告書には何が書かれていることが必要ですか? |
A: |
監査が行われたことと、実行された日付を確認します。日付は審査書類提出日より1年以内でなければなりません。また、別途掲げてある「監査項目」に記載の項目が網羅されていることを確認します。 |
|
|
Q: |
この審査に向けてあらたにセキュリティポリシーを作成したばかりなので、監査をまだしていませんが、その場合の扱いはどうなりますか? |
A: |
本審査に向けてあらたにセキュリティポリシーなどを作成した場合は、監査の経験を持たない場合が多いと考えらます。よって今年度は必須ではなく推奨項目となっていますので、5点の加点ができないだけです。次年度においては必須項目となる可能性が高いのでご了承下さい。 |
|
|
Q: |
1-1-3
にあるとおり、セキュリティポリシーの見直しをしましたが、変更すべき項目がありませんでした。この場合はどうしたらよいですか? |
A: |
見直し、変更が行われたことを確認しますので、見直しの結果、変更がなかったという場合には、その旨を記した文書を提出して下さい。 |
|
|
Q: |
1-1-4 にある責任者とは社長ですか? |
A: |
代表取締役、あるいはその部門の部門長相当の方であることが、のぞましい責任者といえます。 |
|
|
Q: |
1-2-1 の啓蒙活動とは具体的にどんなものでしょうか。また、その範囲はどこまで及びますか |
A: |
会員様の情報にアクセスができる場合や、ユーザー対応の仕事などについた場合には、個人情報の保護に対する知識や対応が必要になりますね。また、セキュリティなどの最小限の知識などは知る必要があります。関連するセミナーへの参加や、先輩の指導などで啓蒙をしてください。それが必要な範囲は、当該システムに携わる部門となります。啓蒙すべきところが会社全体である必要はありません。 |
|
|
|
|
|
|
Q: |
2-1-1 の「セキュリティ対策診断結果報告書」とはどんなものですか。 |
A: |
Web
で推奨しているセキュリティチェックツールを使用して診断していただくのが最適ですが、他のツール、またはオリジナルのものであってもかまいません。自社で自分自身の診断を行った書類を提出していただいて結構です。診断された結果について、ツールによって表現は異なりますが、「脆弱である・脆弱性である可能性が高い・Level
High・Security holes
found」とみなされる結果については、報告書が提出されても合格とすることはできません。「脆弱でない・脆弱性が低い・脆弱である可能性がある・Level
Low ・Level Medium・Security warnings
found」といった報告であれば合格となります。ツールによっては脆弱性の判断不能で「脆弱である・脆弱性である可能性が高い」と判断してしまう場合もありますので、その場合は、ツールの報告書とともに、コメントを添えていただくことで判断いたします。
例1: |
FreeBSD に標準搭載の FTP
は、バージョン情報を返さないので、ツールによっては、最新のバージョンであっても「脆弱である」と報告されてしまう場合がある。その場合は別紙にコメントとして、OS,
FTP のバージョンを記載していただくことで判断材料とする。 |
例2: |
ツールによっては、SSH
のバージョン情報を解読できずに、「脆弱である」と報告されてしまう場合がある。その場合は別紙にコメントとして、SSH
のバージョンを記載していただくことで判断材料とする。 |
例3: |
Web サーバでよく使われる Count.CGI
は、バージョン2.3
以下のものにセキュリティホールがあるが、チェックに対してバージョンを返さないので、ツールによってはそれが存在するだけで High
という報告がなされる場合がある。その場合は別紙にコメントとして、Count.CGI
のバージョンを記載していただくことで判断材料とする。 |
例4: |
OS
やアプリケーションに対して、バージョンアップ作業でなく、個別にパッチをあてているとき、ツールがそれを認識してくれない場合がある。その場合は、パッチをあてたことを別紙にコメントとしていただき判断材料とする。
|
|
|
|
Q: |
2-2-1 の定期的な診断とはツールによる診断チェックのことですか。 |
A: |
セキュリティホールは日々新しいものがでるものであり、また、対策方法も変わる場合があるので、都度見直しをすることが必要です。セキュリティ診断ツールを利用しているのであれば、定期的なバージョンアップが必要です。診断方法はとくにセキュリティチェックツールによるものでなくても良いですが、そのときどきに応じた方策に変更していることを、担当者の報告をもって判断いたします。 |
|
|
Q: |
2-3-1 の「システムのメンテナンス管理基準書」に記載するのはハードの管理基準ですか。 |
A: |
ハードウェア、ソフトウェア、およびバックアップの管理基準があることがのぞましいです。ハードウェアについて、無停電電源、空調、予備機器、その他の動作確認、交換時期などの基準などが確立されていることがのぞましいです。また、ソフトウェアについてはパッチ当て、バージョンアップをする基準について記載されていることがのぞましいです。 |
|
|
|
|
|
|
Q: |
3-1-3 に消火、防火設備とありますが、ハロンガス噴出装置などの設備のことですか。 |
A: |
事業規模により様々であるので、設備存在が確認できれば内容については問いません。大規模事業者の場合には、ハロンガス設備などの対策、小規模事業者の場合には、消化器やの設置などということになろうかと思います。それぞれの事業規模にあった者を設置した上で、その設備内容を記入してください。 |
|
|
Q: |
3-1-4 の水害や地震対策って具体的に何をすればいいのですか? |
A: |
事業規模や地域的特殊要素などにより要因は様々であるので、具体的なものを示すことはいたしません。それぞれに事業規模や地域的特性にあった対策を施した上で署名押印してください。 |
|
|
Q: |
3-1-5 の適切なバックアップの基準はありますか。 |
A: |
事業規模により様々であるので、バックアップの存在が署名押印により確認できればよいものとし、バックアップの頻度や量については問いません。 |
|
|
Q: |
3-1-6
の物理的に離れた場所とは、同じビルの同じフロアにある一室で、パーティーションで区切られたぐらいでも良いのですか。 |
A: |
同じビル内でも別室であるとか、せめて壁一枚以上の区切りを設けてください。 |
|
|
Q: |
停電用の電源とは自家発電装置でないといけませんか。 |
A: |
事業規模により様々であるので、停電時用電源の存在が特定できれば内容については問いません。小規模事業者は無停電電源でもかまいませんが、記入にあたっては具体的に容量や台数などをご記入下さい。
例:5kVA 無停電電源3機 など |
|
|
|
|
|
|
Q: |
4-2-2
でトップページから退会方法案内までの手順を記入するように指定されていますが、最低限の手順というものがありますか。 |
A: |
退会・契約解除の方法がWebで案内されている場合、そのページへのアクセスが、基本的にトップページから5クリック以内で行われていることがのぞましいです。そのページが実際の退会・契約解除申し込みページである必要はないが、退会するにはどうしたらいいか記載されているページまで5クリック以内で到達させてください。5クリック以上でもわかりやすい内容であればかまいませんが、わかりやすいかどうかは主観による判断となります。書面でのみ案内している場合は、その書面の提出が必要です。 |
|
|
Q: |
4-2-2 で、退会の方法が適切に記載されていることとありますが、入会、退会に Anonymous
方式を用いており、入退会手続きが必要のないサービスなのでどうしたらよいでしょうか。 |
A: |
お客様が退会を希望した際に、退会の方法が明確に理解できるものがあれば結構です。サービスの詳細を書面にて提出してください。 |
|
|
Q: |
ユーザーが退会する際に、Web での対応は行っていないのですが。 |
A: |
Web
にて退会の手続きができない場合でも、TELまたはメールでお客様が退会を希望したときに行う手続き方法を書面にて提出してください。また、その手続きの際に使用する書類を提出してください。 |
|
|
Q: |
4-2-3 の禁止行為の規程が約款に記載されている場合は、約款をもう一度提出するのですか。 |
A: |
約款に禁止行為などが記載されている場合は、その部分の抜粋を別途ご提出下さい。 |
|
|
Q: |
4-3-1 にある「容易に行える」とは具体的にどんなことを指しますか。 |
A: |
会員がサービス変更を容易に申し込めるか確認します。容易かどうかの基準については曖昧ですが、常識を持って判断することとし、判断しにくい場合は、二次審査での判断とします。 |
|
|
Q: |
4-4-1 には、約款の細かい文言の訂正や、値下げのお知らせなども入りますか。 |
A: |
細かい文言の訂正や、会員様が有利になるような変更は入りません。また、周知期間は7日間以上あることが必要です。 |
|
|
|
|
|
|
Q: |
5-1-1 について、弊社はメールのみでしかサポートをしていませんが、それではだめですか。 |
A: |
だめです。メールと電話など、最低二つは用意して下さい。 |
|
|
Q: |
5-1-2 の適切な電話回線数とは、具体的にユーザー数に対する準備回線数などの割合が決まっていますか。 |
A: |
事業規模や、サポート担当の熟練度、サポートシステムの組み方などにより、話中度は変わってくるので、単純な回線数の割合などで判断することができません。よって回線数などはについては問わないで、事業者の判断で、通常時に適切数が用意されていると宣言してもらうことで可とします。 |
|
|
Q: |
ユーザー対応の履歴は提出しなければいけませんか。ユーザーの個人情報が載っているので提出したくないです。 |
A: |
ユーザー対応履歴の存在を、担当者の宣言により確認させていただければそれで結構です。履歴の一部などを添付していただければ、より明確に存在確認ができるのでのぞましいですが、ユーザー対応履歴には、ユーザー情報などの個人情報が付加されている場合が多いので提出は必須ではありません。 |
|
|
|
|
|
|
Q: |
6-1-1, 6-2-1, 6-2-2
にあるユーザー様へ提供する情報は、自社オリジナルのものでなくてはいけませんか? |
A: |
いいえ、他が作った情報にリンク許可を取って、リンクしていてもかまいません。JAIPA
会員様は、以下のページに直接リンクすることができます。
|
|
|
|
▲Topへ |